Prestadores de Servicio de Certificación Digital
Publicado en Institucional
Jun 2, 2014
Cuando nos referimos a firma digital, además de la infraestructura tecnológica subyacente, debe coexistir necesariamente un marco jurídico que sustente la validez al producto tecnológico, que si bien podría garantizar en ese ámbito todos los atributos de seguridad en cuanto a la identidad de los cibernautas, la integridad del documento, su no repudio y eventualmente su confidencialidad, mientras exista un vacío legal en la materia, todos los esfuerzos de la ciencia y la técnica serían infructuosos.
En ese razonamiento, podemos señalar que en nuestro país contamos con la normativa que da validez jurídica y fuerza probatoria a la firma electrónica, a la firma digital, a los mensajes de datos y a los expedientes electrónicos; por ese lado estamos preparados, sin embargo, para la implementación efectiva de la firma digital con el alcance jurídico que le atribuye la ley, se requiere indefectiblemente la operación de una autoridad de certificación, denominada legalmente prestador de servicios de certificación, identificado por sus siglas como PSC. La pregunta que aflora inmediatamente como una reacción ciudadana es por qué no tenemos un PSC para que se implemente la firma digital en nuestro país. Para explicar esta curiosidad es importante, primero, conocer qué o quién es el prestador de servicios de certificación y cuál es su función dentro de la infraestructura de la firma digital que técnicamente es conocida como PKI por sus siglas en inglés, o Public Key Infraestructure.
El PSC en su definición genérica, despojado de toda limitación legal, no es otra cosa que la entidad que se encarga de certificar que el firmante de un documento electrónico es efectivamente el titular de la firma digital, mediante la vinculación de la clave privada del firmante con el certificado digital que contiene la clave pública del mismo. Dicho esto, se puede decir que el PSC oficia de una suerte de escribano virtual o cibernotary al dotar de los atributos de autenticidad, no repudio e integridad a las firmas puestas en los documentos electrónicos y al contenido de estos; obviamente e hilando fino en cuanto a las conceptualizaciones jurídicas, la intervención del escribano convencional dota a los documentos, por él autorizados o autenticados, de la calidad de públicos, lo cual, estrictamente hablando no adquieren los e-documents con firma digital, no obstante, que la fuerza probatoria de estos es equivalente a aquellos, tal como ya habíamos aclarado en una anterior publicación cuando nos referíamos a la validez jurídica y probatoria de la firma electrónica y digital.
Aterrizando la noción de PSC a la concepción de nuestra Ley N° 4017/2010, la misma adquiere una limitación en cuanto a quien puede serlo; nuestra norma define al PSC como la “entidad prestadora de servicios de certificación de firmas digitales”, denotando claramente que solamente las personas jurídicas pueden constituirse como tales según lo prescribe el Art. 25 de la Ley N° 4017/2010 “Podrán ser prestadores de servicios de certificación, las personas jurídicas que fueran habilitadas por la autoridad normativa indicada en la presente ley, con base en las disposiciones de la presente ley, así como a las disposiciones del decreto reglamentario correspondiente”. Legislaciones como la uruguaya y la española admiten a las personas físicas como PSC, tal vez en el ánimo de no excluir a los notarios que por la naturaleza de sus funciones, bien podrían ser los certificadores virtuales de las firmas y los documentos electrónicos y de esa forma dotarles a estos de la calidad de documentos públicos electrónicos e inclusive autorizar las escrituras públicas electrónicas, lo cual no resultaría descabellado ni mucho menos imposible para la tecnología informática, toda vez que estuviere respaldo jurídico.
La posibilidad de que personas físicas se constituyan en PSC no existe en nuestra legislación, que además de esta restricción, impone otra, merced a la redacción del Decreto Reglamentario de la Ley N° 4017/2010, donde sin decirlo expresamente, excluye a las instituciones públicas y entidades privadas sin fines de lucro de la posibilidad de constituirse en PSC, al enumerar entre los requisitos exigidos, documentaciones e informaciones de tenencia exclusiva de personas jurídicas de carácter mercantil o con fines de lucro.
Descripta la noción del PSC, es importante describir la función del mismo, cual es emitir certificados digitales a quienes deseen utilizar una firma digital; estos certificados son documentos electrónicos que contienen entre otros datos, el nombre del titular, denominación del PSC emisor, su plazo de validez, la clave pública del titular que corresponde unívocamente a la respectiva clave privada que el mismo mantiene bajo su exclusivo conocimiento y control y mediante la cual puede desencriptarse el documento electrónico recepcionado por el destinatario.
El PSC para dar fe de la identidad del titular del certificado digital, antes de emitirlo, en su función de autoridad de registro, tuvo que haber verificado fehacientemente la identidad del solicitante del certificado, de modo tal que sea indubitable la certificación otorgada. Cabe aclarar que la función de autoridad de registro en otros países y bajo el amparo de sus respectivas legislaciones, puede ser cumplida por otra entidad, diferente al PSC, lo cual no ocurre en nuestro país, donde la legislación omite esa función esencial del proceso de emisión de certificado digital, omisión que es subsanada en la Política de Certificación de la Infraestructura de Clave Pública del Paraguay, donde se establece que el mismo PSC cumplirá las funciones de registro y describe el proceso para llevarlo a cabo.
De lo dicho, pueden distinguirse 2 funciones esenciales del PSC: verificar la identidad del solicitante en su rol de autoridad de registro y emitir el certificado digital en su papel de PSC propiamente.
Señalada la noción del PSC y su función, podemos reanudar la respuesta a la pregunta que nos autoformuláramos al principio respecto a la razón por la cual aún no contamos con un PSC; la concurrencia de los interesados en constituirse en PSC es libre para cualquier persona jurídica que cumpla los requisitos establecidos en la normativa, interés que debe ser formalizado ante la autoridad de aplicación, el Ministerio de Industria y Comercio, a través de la Dirección General de Firma Digital y Comercio Electrónico, unidad administrativa dependiente del Viceministerio de Comercio, que analizará la solicitud de habilitación basada en los requerimientos de la Ley N° 4017/2010, su Decreto Reglamentario N° 7369/2011 y demás reglamentaciones para autorizar la habilitación o rechazo de la empresa interesada.
La existencia o no del PSC está supeditada exclusivamente a la iniciativa de una empresa privada, que formalizada su intención de constituirse en autoridad certificadora, quedará en manos de la autoridad de aplicación (MIC), evaluar si cumple con todas las exigencias emanadas de la normativa sobre la materia La Ley N° 4017/2010 y su decreto reglamentario dedican todo un capítulo al PSC, consignando los requisitos que debe reunir para ser habilitado, las obligaciones que debe cumplir y las responsabilidades emergentes de la actividad de certificación digital.
Es importante subrayar que el PSC habilitado deberá estar sometido a estrictos controles por parte de la autoridad de aplicación, de modo de asegurar la cadena de confianza que debe primar para que el usuario de la firma digital tenga la absoluta certeza de que los certificados digitales emitidos por el mismo garanticen la autenticidad de la identidad del remitente de un documento electrónico, la integridad del mismo y su no repudio.
El rol del PSC es indispensable en una infraestructura de clave pública, sin su operativa no es posible la implementación de la firma digital o la firma electrónica avanzada como se la conoce en otros países; haciendo la salvedad de que es posible operar con la firma electrónica sin contar con un PSC habilitado, toda vez que el documento electrónico cuente con una forma de identificación del emisor e inclusive el proceso de generación de la firma puede cumplir con todos los requisitos tecnológicos exigidos para la firma digital, sin embargo, la falta de un tercero de confianza que certifique dicha firma hace que la firma sea electrónica, no digital, cuya validez jurídica no se niega, pero sin la fuerza probatoria de esta. Es más, internamente una organización puede implementar la tecnología de la firma digital con certificación interna o autocertificación, sin embargo esta situación les restará fuerza probatoria a los actos que involucren a terceros, al no ser una autoridad certificadora habilitada legalmente (PSC).
(*) Rodys Rolón Alvarenga - Profesor de Derecho Informático en la Facultad de Derecho UNA. Abog. Mgtr. y Especialista en Derecho Civil y Comercial por la Facultad de Derecho UNA
Director General de Firma Digital y Comercio Electrónico - MIC
Fuente: Diario ABC color